Toto je starší verze dokumentu! —-

IN-POS 9. Informační bezpečnost

Zadání

  • Principy řízení bezpečnosti v organizaci, řízení rizik,
  • politika informační bezpečnosti,
  • systém řízení informační bezpečnosti,
  • hodnocení úrovně informační bezpečnosti.
  • PV080, PV017

Vypracování

Principy řízení bezpečnosti v organizaci

Bezpečnost

Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám.
  1. Prevence
  2. Detekce
  3. Reakce
  • Aktiva: data, zdroje,… (s hodnotou)
  • Zranitelnost (systému)
    • s útočníkem vzniká hrozba
  • Útok: realizace hrozby
    • výsledek úspěšných nebo neúspěšný
  • Riziko: pravděpodobnost útoku (uplatnění hrozby)

Řízení rizik

= minimalizace rizik

4 fáze:

  1. Ohodnocení rizik: analýza a vyhodnocení
  2. Zvládání rizik: výběr a implementace opatření snižujících rizika
  3. Akceptace rizik: rozhodování o přijatelnosti rizika informovanost o rizicích
1. Analýza a vyhodnocení rizik
  • Zvážit, co všechno by mělo být chráněno.
  • Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
    • na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty
  • Chybná analýza způsobí chybně navržená bezpečnostní opatření.
  • Častěji spíše odhad rizik, než skutečná analýza.
  • kvalitativní
    • ➕ velmi srozumitelný výstup (nejčastěji v $$$)
  • kvalitativní
    • diskrétní stupnice (ne $$$)
    • ➕ jednodušší, automatizovatelný postup
    • ➖ méně srozumitelné výsledky

Annual Loss Expectancy (ALE)

  • SLE: Single Loss Exposure
  • ARO: Annualized Rate of Occurence
  ALE = SLE x ARO 

Business Process Analysis (BPA)

  • Širší pojetí rizik, nejen IT.
  • výstup:
    • mapa procesů a jejich popisy
    • tabulka rizik a kontrol (kvalitativně)
    • doporučení

CRAMM

  • 1985 – Vláda UK – Risk Analysis and Management Method
  • Strukturovaný přístup ve třech fázích:
    • Identifikace a ocenění hodnot.
    • Odhad hrozeb a zranitelností hodnot.
    • Výběr vhodných protiopatření.
  • Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů.

Klasifikace útnočníků

  • Třída 0 (script kiddies)
    • útočníci bez dostatku znalostí o systému
    • využití běžně dostupného vybavení
    • metoda pokus-omyl
  • Třída 1 (chytří nezasvěcení útočníci)
    • inteligentní útočníci bez dostatku znalosti o systému
    • využití cenově běžně dostupného vybavení
    • obvykle útoky na známé bezpečnostní slabiny
  • Třída 1.5
    • inteligentní útočníci se základními znalostmi o systému
    • využití cenově dostupných zařízení
    • např. univerzitní laboratoře
  • Třída 2 (zasvěcení insideři
    • zkušení jedinci nebo týmy s technickými vědomostmi o systému
    • využití sofistikovaného vybavení
  • Třída 3 (majetné organizace)
    • kvalifikované týmy
    • využití běžně nedostupného vybavení
    • možnost provádění detailní analýzy systému a návrh komplexních útoků
    • př. vládní organizace (např. NSA)
2. Zvládání rizik
  • Řešíme, zda použít:
    • preventivní řešení
    • nápravná řešení
    • případně akceptovat riziko, nebo se pouze pojistit

Zajištění bezpečnosti

  • Zajištění bezpečnosti je proces, nikoliv stav či cíl.
  • Bezpečnostní opatření: omezují rizika
    • odstranění není možné nebo dostupné
  • Bezpečnostní mechanizmy: implementace bezpečnostních opatření
  • Bezpečnostní politika: specifikace způsobu uplatňování bezpečnostních opatření.
    • CO a JAK mají opatření dosáhnout
    • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
Specifikace bezpečnostní politiky a architektury
  • Co a jak mají dosáhnout ochranná opatření.
  • Cíl – minimalizace (kontrola) rizik.
  • Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
    • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
  • Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.
  • Celková bezpečnostní politika
    • Určitá míra nezávislosti na použitých IT.
    • Citlivá data, zodpovědnosti, základ infrastruktury.
    • Horizont nad 5 let.
  • Systémová bezpečnostní politika
    • Zohledňuje použité IT, konkretizace CBP.
    • Horizont obvykle cca 2-3 roky.
  • Další specifické politiky: provozní, personální, intranetová,…

Politika informační bezpečnosti

  • ITSP = IT Security Policy
  • Zavedena obvykle v přirozeném jazyce.
  • Horizont cca 5-10 let.
  • ochrana informačních aktiv
  • Obsahuje:
    • hodnocení rizik
    • cíle opatření
    • prohlášení o aplikovatelnosti (specifikace vhodných opatření)
    • klasifikace informací
    • plán zachování kontinuity

BP systému zpracování informací

  • zúžení ITSP
  • definována normou ISO/EC 27000
  • plán zvládání rizik
  • určuje způsob zabezpečení dat v dané organizaci

Systém řízení informační bezpečnosti

= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

  • nadřazené, nebo součástí ITSP
  • předpoklady ISMS:
    • vypracovaná BP
    • management prosazuje BP na všech úrovních
    • je implementován měřící systém
  • role v rámci ISMS:
    • Nejvyšší management
    • Výkonný ředitel
    • Řídící výbor (bezpečnosti informací)
      • posuzování a schvalování BP
      • kontrola činnosti ISMS
    • Bezpečnostní architekt
    • CISO Chief of Information Security Officer
    • lokální administrátoři systémů
  • normy:
    • ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
    • ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS
  • dokumentace ISMS má 4 části:
    • dokumentácia politiky
    • dokumentácia procedúry
    • pracovní instrukce
    • správy/logy

Hodnocení úrovně informační bezpečnosti

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.

Common Criteria (Společná kriteria)

  • Definuje framework, který umožňuje, aby:
    • uživatel specifikoval požadavky na bezpečnost produktu
    • výrobce specifikoval vlastnosit produktu
    • nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům
      • následně vydá certifikát
      • certifikační autority: vládní agentury nebo licencované komerční organizace
  • Předmět hodnocení (Target of Evaluation, TOE)
    • produkt nebo systém (nebo jeho část), který je předmětem hodnocení
  • Specifikace bezpečnosti (Security Target, ST)
    • cílová kombinace komponent spojených s konkrétním produktem nebo systémem
  • Profil bezpečnosti (Protection Profile, PP)
    • implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE
  • ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
  • ➕ usnadnění specifikace požadavků
  • ➕ ujasnění požadavků na návrh a vývoj
  • ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
  • ➖ uživatel musí správně porozumět zárukám produktu
  • Metody hodnocení:
    • Investigativní
      • produktově/systémově orientováno
      • ➖ těžko opakovatelné (individuální pro každý produkt)
    • Auditní
      • procesně orientovaný
      • ➖ pro koncového uživatele méně přímosné
  • Evaluation Assurance Level (EAL):
    • EAL0 - Nevyhovující
    • EAL1 - Funkčně otestovaný TOE
    • EAL2 - Strukturovaně otestovaný TOE
    • EAL3 - Metodicky testovaný a kontrolovaný TOE
    • EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE
    • EAL5 - Semiformálně navržený a testovaný TOE
    • EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE
    • EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE

OWASP

= The Open Web Application Security Project

  • nástroj pro měření úrovně bezpečnosti webových aplikací
  • kritéria
    • základní
    • rozšiřující (zaručení vyšší stupně ochrany)
  • Kategorie jednotlivých kriterií:
    • Vysoká záruka
      • dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace
    • Střední záruka
      • dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace
    • Nízká záruka
      • dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace
    • Velmi nízká záruka
      • dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace
    • Žádná
      • aplikace nebyla nijak analyzována
  • Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují.

Zdroje

mgr-szz/in-pos/9-pos.1560334594.txt.gz · Poslední úprava: 2019/06/12 12:16 autor: lachmanfrantisek
Nahoru
CC Attribution-Noncommercial-Share Alike 3.0 Unported
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0